santo domingo, república dominicana 15 de mayo, 2014 · introducciÓn ... computación en la nube...

DEPARTAMENTO DE ESTANDARIZACIÓN,NORMATIVAS Y AUDITORÍA TÉCNICA

Santo Domingo, República Dominicana15 de mayo, 2014

NORMA GENERAL SOBRE EL USO E IMPLEMENTACIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

EN EL ESTADO DOMINICANO

CAPÍTULO IVINFRAESTRUCTURA TECNOLÓGICA

NORTIC A1:2014Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano

Edición: 1era.Departamento de Estandarización, Normativas y Auditoría TécnicaFecha de aprobación: 23 de abril de 2014Fecha de lanzamiento: 15 de mayo de 2014

Categoría: ASerie de documento: 1Año de publicación: 2014Versión 0.1.0

Impreso en República Dominicana

Esto es solo un extracto de la NORTIC A1:2014, correspondiente al capítulo IV, para mayor información, consultar la norma en su versión completa.

NORTIC A1:2014

Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano

TABLA DE CONTENIDO

PRÓLOGO ..........................................................................................IV

MARCO LEGAL ................................................................................ VII

INTRODUCCIÓN ............................................................................ XV

CAPÍTULO IV INFRAESTRUCTURA TECNOLÓGICA ............................................17

Sección 4.01. Conectividad ..................................................................... 17

Sub-sección 4.01.1. Administración de la red de área local ............ 17

Apartado 4.01.1.1. Topología y direccionamiento ................................ 18

Apartado 4.01.1.2. Enrutadores y conmutadores ................................. 19

Apartado 4.01.1.3. Conexión física entre dispositivos .......................... 21

Sub-sección 4.01.2. Administración de la red privada virtual y la red de área local inalámbrica .................................22

Sub-sección 4.01.3. Estructura del centro de datos y administración de servidores .................................................... 24

Apartado 4.01.3.1. Topología del centro de datos ................................ 24

Apartado 4.01.3.2. Cableado del centro de datos ................................ 25

Apartado 4.01.3.3. Condiciones físicas y ambientales del centro de datos ....................................................................26

Apartado 4.01.3.4. Administración de servidores del centro de datos .. 26

Sub-sección 4.01.4. Administración del servicio de voz sobre IP .... 28

Sección 4.02. Documentación de la red de datos ...................................28

Sección 4.03. Computación en la nube ..................................................29

GLOSARIO DE TÉRMINOS ...............................................................33

ABREVIATURAS Y ACRÓNIMOS .....................................................58

BIBILIOGRAFÍA.................................................................................64

ANEXOS ..............................................................................................65

EQUIPO DE TRABAJO ......................................................................67

ivNorma General sobre el Uso e Implementación de las Tecnologías

de la Información y Comunicación en el Estado Dominicano

PRÓLOGO

La Oficina Presidencial de Tecnologías de la Información y Comunicación (OPTIC), es el organismo del Estado Dominicano responsable de fomentar el uso de las tecnologías de la información y comunicación (TIC), creado mediante el decreto No. 1090-04, en fecha 3 de septiembre de 2004, como dependencia directa del Poder Ejecutivo, con autonomía financiera, estructural y funcional, a fin de garantizar eficiencia, transparencia, servicios en línea y mecanismos para rendición de cuentas disponibles a favor de la ciudadanía.

Para el aseguramiento del correcto uso e implementación de las TIC en el Estado, la OPTIC crea el departamento de Estandarización, Normativas y Auditoría Técnica (ENAT), el cual elabora y establece las normas y estándares tecnológicos que impulsen el gobierno electrónico en el país.

Estas normas sobre TIC, denominadas NORTIC, son creadas desde el año 2013 por el ENAT, bajo el mandato del Ing. Armando García, director general de la OPTIC, y en el gobierno del Presidente de la República Dominicana, Lic. Danilo Medina.

Las NORTIC fueron concebidas para normalizar, estandarizar y tener una herramienta de auditoría para el efectivo uso e implementación de las TIC en la administración pública, con el fin de llegar a la completa homogeneidad y mejora de los procesos entre los organismo gubernamentales.

En este contexto, se han definido 5 categorías o tipos de NORTIC, según el alcance de estas, para ser difundidas e implementadas en toda la administración pública, como se presenta a continuación:

1. Categoría A (normas universales), para los aspectos normativos que aplican a todos los organismos gubernamentales.

2. Categoría B (normas para los departamentos de TIC), para aquellas

NORTIC A1:2014

vNorma General sobre el Uso e Implementación de las Tecnologías


normas necesarias y exclusivas a la efectiva gestión de los departamentos o áreas de Tecnologías de la Información y Comunicación (TIC) dentro de los distintos organismos del Estado Dominicano.

3. Categoría C (normas municipales), para las normas que aplican a las iniciativas de TIC en los ayuntamientos o municipios.

4. Categoría D (normas para embajadas), para las normas que aplican únicamente a las iniciativas de TIC de las embajadas, consulados o misiones en el extranjero.

5. Categoría E (normas especiales), para las normas que aplican a organismos gubernamentales con características específicas dependiendo de sus funciones y estructura orgánica, así como para iniciativas, proyectos o programas de Gobierno, en el cual se haga uso de las TIC.

De modo, que esta Norma General sobre Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano, por tener un alcance universal, pertenece a la categoría A; mientras que por ser la NORTIC general, la cual abarca todos los temas de las actuales normativas, su denominación sería NORTIC A1:2014, siendo los últimos 4 dígitos los referidos al año de lanzamiento de esta norma.

En algunos casos, esta normativa puede presentarse de la forma siguiente NORTIC A1-1:2014, seguida de trece caracteres (#####-##-######), donde el número “1” que aparece después del guion (-) especifica la serie del documento (1 para directrices, 2 para guías de implementación, 3 para código de buenas prácticas, entre otros) y los demás caracteres, el Número de Identificación Único (NIU) para cada organismo del Estado.

La evaluación de cada NORTIC es realizada por dos comités, la primera evaluación es ejecutada por el Comité Interno para Evaluación de las Normas (CIEN), el cual está conformado por expertos en TIC dentro de la OPTIC, mientras que la segunda evaluación es realizada por el Comité de Estándares de Tecnologías de la Información y Comunicación (COETIC), el cual está conformado por los responsables de TIC de cada organismo gubernamental, o a quienes la máxima autoridad de cada organismo designe.

En vista de la responsabilidad de la OPTIC en la elaboración de políticas, estrategias y controles de TIC y de los avances en el uso de las tecnologías, de los cuales los organismos gubernamentales no quedan al margen, surge esta

NORTIC A1:2014

viNorma General sobre el Uso e Implementación de las Tecnologías


normativa con las directrices y recomendaciones para garantizar el uso efectivo de las plataformas y los procesos tecnológicos que son implementados por cada uno de dichos organismos.

viiNorma General sobre el Uso e Implementación de las Tecnologías


MARCO LEGAL

La OPTIC, en su rol de entidad normalizadora sobre el uso e implementación de TIC en la administración pública, ha establecido las directrices por las cuales debe regirse todo organismo gubernamental del Estado Dominicano, tanto para aquellos que están físicamente dentro del país, como para los organismos que se encuentran fuera, como son las embajadas, consulados y misiones en el extranjero.

El marco legal que soporta esta norma está compuesto por las leyes y decretos presidenciales presentados a continuación:

1. El Decreto 1090-04, a través del cual se constituye la OPTIC como dependencia directa del poder ejecutivo, donde se establece lo siguiente:

• Artículo 3.- Serán funciones de la Oficina Presidencial de Tecnologías de la Información y Comunicación, diseñar, proponer y definir las políticas, establecer los lineamientos y elaborar las estrategias, planes de acción y programas para promover, desarrollar y garantizar mayor acceso, conectividad e implantación de nuevas tecnologías de la información y comunicación, con el fin de fomentar su uso, como soporte del crecimiento económico y competitividad hacia la sociedad de la información, gestionando los proyectos conforme a tales directrices; y que garanticen el acceso equitativo a los mercados y al sector productivo como esfuerzo para la política de generación de empleo, para mejorar la calidad de vida, crear oportunidades de educación, trabajo, justicia, cultura y recreación, y otros.

• Artículo 5.- La Oficina Presidencial de Tecnologías de la Información y Comunicación será responsable de la formulación de políticas y la implementación del proceso de desarrollo e innovación

NORTIC A1:2014

viiiNorma General sobre el Uso e Implementación de las Tecnologías


tecnológica para la transformación y modernización del Estado hacia la sociedad de la información, promoviendo la integración de nuevas tecnologías, su compatibilidad, interoperabilidad y estandarización en materia de TIC.

• Artículo 7.- La Oficina Presidencial de Tecnologías de la Información y Comunicación podrá proponer políticas para difundir y promover la generación de una cultura de TIC en el país.

• Artículo 9.- La Oficina Presidencial de Tecnologías de la Información y Comunicación deberá velar, asistir y supervisar en los aspectos y políticas relativas a la seguridad y privacidad de la información digitalizada y electrónica en el ámbito del sector público.

2. Para el tratamiento de los derechos sobre la protección de datos[1] personales, esta norma se ampara en la propia Constitución de la República Dominicana del 26 de enero de 2010.

• Artículo 44.- Derecho a la intimidad y el honor personal. Toda persona tiene derecho a la intimidad. Se garantiza el respeto y la no injerencia en la vida privada, familiar, el domicilio y la correspondencia del individuo. Se reconoce el derecho al honor, al buen nombre y a la propia imagen. Toda autoridad o particular que los viole está obligado a resarcirlos o repararlos conforme a la ley. Por tanto:

º Toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos.

[1] Hace referencia a un valor íntegro sobre un elemento determinado, el cual por si solo carece de importancia y a través del procesamiento adecuado logra convertirse en información útil.

NORTIC A1:2014

ixNorma General sobre el Uso e Implementación de las Tecnologías


º Se reconoce la inviolabilidad de la correspondencia, documentos o mensajes privados en formatos físico, digital, electrónico o de todo otro tipo. Sólo podrán ser ocupados, interceptados o registrados, por orden de una autoridad judicial competente, mediante procedimientos legales en la sustanciación de asuntos que se ventilen en la justicia y preservando el secreto de lo privado, que no guarde relación con el correspondiente proceso. Es inviolable el secreto de la comunicación telegráfica, telefónica, cablegráfica, electrónica, telemática o la establecida en otro medio, salvo las autorizaciones otorgadas por juez o autoridad competente, de conformidad con la ley.

º El manejo, uso o tratamiento de datos e informaciones de carácter oficial que recaben las autoridades encargadas de la prevención, persecución y castigo del crimen, sólo podrán ser tratados o comunicados a los registros públicos, a partir de que haya intervenido una apertura a juicio, de conformidad con la ley.

3. La Ley 107-13, sobre los derechos de las personas en sus relaciones con la administración pública y de procedimiento administrativo, en donde se regulan los derechos y deberes de las personas y sus relaciones con la administración pública y se establecen los principios que sirven de sustento a esa relación, indicando los procedimientos administrativos.

• Artículo 4.- Derecho a la buena administración y derechos de las personas en sus relaciones con la administración pública. Se reconoce el derecho de las personas a una buena administración pública, que se concreta, entre otros, en los siguientes derechos subjetivos de orden administrativo:

º Derecho a no presentar documentos que ya obren en poder de la administración pública o que versen sobre hechos no controvertidos o no relevantes.

• Artículo 27.- Actos de instrucción o investigación. Los actos de instrucción o investigación podrán consistir, entre otros, en los siguientes medios:

NORTIC A1:2014

xNorma General sobre el Uso e Implementación de las Tecnologías


º Párrafo I.- Las actuaciones para la obtención y tratamiento de la información necesaria para adoptar una decisión bien informada podrán consistir en cualquier medio, como la cooperación, asistencia e intercambio de información con otras administraciones competentes, o las consultas a los expertos. En los términos establecidos en la legislación o en convenios internacionales, podrá recabarse la colaboración informativa de otras agencias y administraciones especializadas de otros Estados, o de organismos internacionales, al objeto de adoptar la decisión mejor informada, al servicio de los intereses generales.

4. La Ley 53-07 contra Crímenes y Delitos de Alta Tecnología.

• Artículo l.- Objeto de la Ley. La presente ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de la información y comunicación, y su contenido, así como la prevención y sanción de los delitos cometidos contra estos o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías en perjuicio de personas física o morales, en los términos previstos en esta ley. La integridad de los sistemas de información y sus componentes, la información o los datos, que se almacenan o transmiten a través de estos, las transacciones y acuerdos comerciales o de cualquier otra índole que se llevan a cabo por su medio y la confidencialidad de estos, son todos bienes jurídicos protegidos.

5. La Ley 340-06 sobre Compras y Contrataciones de Bienes, Servicios, Obras y Concesiones, en donde se establecen los principios y normas generales que rigen la contratación pública, relacionada con los bienes, obras, servicios y concesiones del Estado.

6. La Ley 200-04, sobre el Libre Acceso a la Información Pública, que establece la implementación de la sección “Transparencia” en los portales del Gobierno Dominicano.

• Artículo 5.- Se dispone la informatización y la incorporación al sistema de comunicación por Internet o a cualquier otro sistema similar que en el futuro se establezca, de todos los organismos públicos centralizados y descentralizados del Estado, incluyendo el

NORTIC A1:2014

xiNorma General sobre el Uso e Implementación de las Tecnologías


Distrito Nacional y los municipios, con la finalidad de garantizar a través de este, un acceso directo del público a la información del Estado. Todos los poderes y organismos del Estado deberán instrumentar la publicación de sus respectivas “páginas web” a los siguientes fines:

º Difusión de información: Estructura, integrantes, normativas de funcionamiento, proyectos, informes de gestión, base de datos;

º Centro de intercambio y atención al cliente o usuario[2]: Consultas, quejas y sugerencias;

º Trámites o transacciones bilaterales;

º La información a que hace referencia el párrafo anterior, será de libre acceso al público sin necesidad de petición previa.

• Artículo 6.- La administración pública, tanto centralizada como descentralizada, como cualquier otro órgano o entidad que ejerza funciones públicas o ejecute presupuesto público, y los demás entes y órganos mencionados en el Artículo 1 de esta ley, tienen obligación de proveer la información contenida en documentos escritos, fotografías, grabaciones, soportes magnéticos o digitales, o en cualquier otro formato, y que haya sido creada u obtenida por ella o que se encuentre en su posesión y bajo su control.

• Artículo 11.- La información solicitada podrá ser entregada en forma personal, por medio de teléfono, facsímile, correo ordinario, certificado o también correo electrónico[3], o por medio de formatos disponibles en la página de Internet que al efecto haya preparado la administración a la que hace referencia el Artículo 1 de esta ley.

• Artículo 24.- Las entidades o personas que cumplen funciones públicas o que administren recursos del Estado deberán prever en sus presupuestos las sumas necesarias para hacer publicaciones en los medios de comunicación colectiva, con amplia difusión nacional, de los proyectos de reglamentos y actos de carácter

[2] Hace referencia a la persona que consume o manipula un producto, servicio o información.[3] Es un servicio de mensajería en red que permite el intercambio de mensajes, a través de sistemas de

comunicación electrónicos.

NORTIC A1:2014

xiiNorma General sobre el Uso e Implementación de las Tecnologías


general, a los que se ha hecho referencia en el artículo anterior.

º Párrafo.- En los casos en que la entidad o persona correspondiente cuente con un portal de Internet o con una página en dicho medio de comunicación, deberá prever la existencia de un lugar específico en ese medio para que los ciudadanos puedan obtener información sobre los proyectos de reglamentación, de regulación de servicios, de actos y comunicaciones de valor general, que determinen de alguna manera la forma de protección de los servicios y el acceso de las personas de la mencionada entidad. Dicha información deberá ser actual y explicativa de su contenido, con un lenguaje entendible al ciudadano común.

º Debe publicarse el contenido utilizando medios tecnológicos que garanticen la autenticidad de la información, tales como certificados digitales[4].

7. La Ley 126-02 sobre Comercio Electrónico, Documentos y Firma Digital.

8. La Ley 42-2000 sobre Discapacidad en la República Dominicana.

9. La Ley 65-00 sobre Derecho de Autor[5].

• Artículo 2.- El derecho de autor comprende la protección de las obras literarias y artísticas, así como la forma literaria o artística de las obras científicas, incluyendo todas las creaciones del espíritu en los campos indicados, cualquiera que sea el modo o forma de expresión, divulgación, reproducción o comunicación, o el género, mérito o destino, incluyendo pero no limitadas a:

º Los programas de computadoras, en los mismos términos que las obras literarias, sean programas fuente o programas objeto, o por cualquier otra forma de expresión, incluidos la documentación técnica y los manuales de uso;

º Las bases o compilaciones de datos u otros materiales, legibles

[4] Es un documento digital que permite garantizar la identidad de una persona en la red, a través de una firma electrónica. Se utiliza como una forma segura de garantizar la autentificación, integridad y confidencialidad de la información.

[5] Es el conjunto de leyes y principios que provee protección a los autores, artistas y demás creadores para sus creaciones.

NORTIC A1:2014

xiiiNorma General sobre el Uso e Implementación de las Tecnologías


por máquina o en cualquier otra forma, que por la selección o disposición de sus contenidos constituyan creaciones de carácter intelectual, pero no de los datos o materiales en sí mismos y sin perjuicio del derecho de autor existente sobre las obras que puedan ser objeto de la base o compilación;

10. El Decreto 694-09, que establece el Sistema 311 de Denuncias, Quejas y Reclamaciones como medio principal de comunicación para la recepción y canalización de denuncias, quejas y reclamaciones.

(a) Artículo 5.- Se instruye a todas las instituciones del sector público a incluir un enlace[6] en su portal web[7] hacia www.311.gob.do.

11. El Decreto 175-08, que instruye a los organismos de la administración pública a reservar su nombre de dominio bajo las jerarquías de GOB.DO y GOV.DO.

12. El Decreto 229-07, el cual es el instructivo de aplicación de Gobierno Electrónico, contentivo de las pautas generales para el desarrollo de la Estrategia de Gobierno Electrónico en la República Dominicana.

13. El Decreto 709-07 sobre las normas y estándares elaboradas por la OPTIC.

• Artículo 1.- Se instruye a toda administración pública del Estado Dominicano a cumplir con las normas y los estándares tecnológicos para: (i) el desarrollo de portales gubernamentales, (ii) conectividad interinstitucional, (iii) interoperabilidad tecnológica, (iv) de seguridad, auditoría e integridad electrónica, (v) digitalización de documentos; así como cualquier otra normativa que sea redactada, aprobada y coordinada por la Oficina Presidencial de Tecnologías de la Información y Comunicación (OPTIC), en materia de tecnología de la información y la comunicación (TIC) y Gobierno Electrónico.

14. El Decreto 228-07, que establece el Centro de Contacto Gubernamental *GOB (*462), como canal de voz oficial y principal punto de contacto

[6] Los enlaces, también conocidos como hipervínculos o hiperenlaces, son elementos dentro de un portal web que hacen referencia a otros contenidos que se encuentran dentro del mismo portal web o en un portal externo.

[7] Es un conjunto de páginas electrónicas que presentan información y recursos de interés al usuario.

http://www.311.gob.do

NORTIC A1:2014

xivNorma General sobre el Uso e Implementación de las Tecnologías


comunicacional para atención telefónica del ciudadano en el Gobierno Dominicano.

• Artículo 6.- Se instruye para que todas las instituciones públicas aseguren una oferta creciente de servicios normalizados, de atención e información, a través del Centro de Contacto Gubernamental *GOB, y a anunciar sus programas nacionales a través de dicho canal de voz oficial.

15. El Decreto 615-07, que instruye a la OPTIC a coordinar el procedimiento para la elaboración de los inventarios[8] respecto a los programas incorporados a las computadoras y su licenciamiento.

16. El Decreto 130-05, que aprueba el reglamento de la Ley General de Libre Acceso a la Información Pública.

17. La Resolución 51-2013, que aprueba los modelos de estructura organizativa permitidos para las unidades de TIC de todos los organismos del sector público.

[8] Es un registro organizado de los activos pertenecientes o bajo la responsabilidad de un organismo determinado.

xvNorma General sobre el Uso e Implementación de las Tecnologías


INTRODUCCIÓN

La Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano, es un documento que establece el modelo, directrices y recomendaciones que debe seguir cada organismo del Gobierno Dominicano sobre el uso e implementación de TIC, con el objetivo de estandarizar los procesos y plataformas utilizados en la administración pública, de modo que se pueda lograr una gestión más efectiva de los recursos tecnológicos en cada organismo, así como mejorar la calidad en los servicios prestados por los organismos a los ciudadanos.

En esta norma se presentan cada uno de los aspectos, que en su mayoría, son generales para cada organismo gubernamental y los cuales ameritan de una normativa que regule la gestión de estos. Cada uno de estos temas se presenta como capítulos y describen todo lo necesario para lograr el cumplimiento de esta normativa en toda la administración pública.

En tal sentido, en esta norma también conocida como NORTIC A1, se indica desde el primer capítulo el alcance de la misma, la cual comprende todos los organismos del Estado Dominicano de manera mandataria. Además, se indican aquellas directrices de aplicación general que cada organismo debe cumplir en los diferentes aspectos de TIC.

En el segundo capítulo, el cual tiene por objetivo garantizar la eficiente gestión del departamento de TIC, se establecen las directrices para definir la correcta composición de la estructura y los distintos roles dentro de este departamento. Además, en este capítulo se dispone de las diferentes políticas generales del departamento y la administración de los servicios brindados por los organismos gubernamentales.

En el capítulo siguiente sobre implementación TIC, se indican las directrices que deben seguir los organismos gubernamentales en la gestión de sus proyectos

NORTIC A1:2014

xviNorma General sobre el Uso e Implementación de las Tecnologías


de TIC, así como también las pautas que deben cumplir al momento de realizar alguna compra o contratación de servicios.

En el capítulo sobre infraestructura de TIC[9], se presentan las directrices para que cada organismo logre estructurar, configurar y mantener su infraestructura TIC a nivel de conectividad, documentación y servicios computacionales en la nube, de modo que pueda ser interoperable y sostenible en el tiempo.

Siguiendo con el quinto capítulo sobre software gubernamental[10], en el cual se indica las directrices en que cada organismo debe seguir para lograr una mejor administración y utilización del software[11]. También se indica la metodología para el desarrollo del software gubernamental y como debe ser utilizado el software de código abierto en la administración pública.

La seguridad TIC, tratada en el capítulo VI, establece las directrices para asegurar la confidencialidad, integridad y disponibilidad del activo de información de los organismos gubernamentales. Además, se abordan las directrices para mantener la continuidad de los servicios y la gestión de riesgos[12] para las operaciones apoyándose en los recursos de TIC.

Para el capítulo final, se indican las directrices y recomendaciones sobre los aspectos que permiten la automatización de los servicios y una administración eficiente de los recursos, como los temas de digitalización de documentos, reducción de papel, canales de acceso, Intranet[13] y un Sistema de Respuesta de Voz Interactiva[14] (IVR, por sus siglas en inglés). Además, en este capítulo se trata el tema de tecnología verde, el cual procura llevar a los organismos a un nivel de optimización de sus recursos tecnológicos, permitiéndole minimizar el impacto ambiental y aumentar el ahorro energético.

[9] Para fines de esta norma, hace referencia al conjunto de equipos y elementos en lo que se sustenta un sistema de información.

[10] Para fines de esta norma, son todas las herramientas aplicaciones y software desarrollados a la medida o para soluciones específicas, utilizadas por el estado.

[11] Se refiere a todos los componentes lógicos o intangibles de un sistema de información, tales como programas, aplicaciones, sistemas operativos, entre otros.

[12] Es la posibilidad de que se produzca una amenaza por decisión previa.[13] Es una red interna para compartir de forma segura cualquier información o aplicación y evitar que cualquier

usuario de Internet pueda ingresar a la red.[14] Es un sistema telefónico capaz de recibir una llamada e interactuar con el humano, a través de grabaciones

de voz y el reconocimiento de respuestas simples, mediante las teclas del teléfono o el móvil.

17Norma General sobre el Uso e Implementación de las Tecnologías


CAPÍTULO 4 INFRAESTRUCTURA TECNOLÓGICA

En el siguiente capítulo se establecen las directrices que todo organismo gubernamental debe aplicar para una correcta disposición de su infraestructura a nivel de conectividad, servicios de la Voz sobre IP[1] (VoIP, por sus siglas en inglés) y la documentación de la red, así como para la computación en la nube.

SECCIÓN 4.04. Conectividad

Para una conectividad efectiva a nivel de datos, todos los organismos gubernamentales deben hacer una buena administración de su Red de Área Local[2], la Red Privada Virtual[3] y la Red de Área Local Inalámbrica[4] (LAN, VPN y WLAN, respectivamente, por sus siglas en inglés), evitando la infiltración de intrusos y pérdida de información.

Sub-sección 4.04.4. Administración de la red de área local

Toda LAN debe poseer un esquema de su topología de datos y direccionamiento, permitiendo así una mejor configuración y conexión física de sus equipos, tales como: enrutadores[5] y conmutadores[6]; por lo que estos deben cumplir con los

[1] Son recursos que permiten que una señal de voz sea transmitida, a través de Internet, mediante el protocolo IP.

[2] Es una red de datos con un alcance geográficamente limitado.[3] Es una red virtual privada que permite de forma segura la interacción de datos sobre redes compartidas

utilizando como vínculo el Internet.[4] Es un sistema de comunicación inalámbrico, utilizado como otra opción a las redes locales, usando la

tecnología de radiofrecuencia para llevar información de un punto a otro, permitiendo mayor movilidad y disminución en las conexiones cableadas.

[5] También conocido como router, son dispositivos utilizados para crear e intercomunicar sud-redes de datos.[6] También conocido como switch, son dispositivos utilizados para conectar dos o más segmentos de redes.

NORTIC A1:2014



requerimientos necesarios para operar en la red de datos[7].

Apartado 4.04.4.4. Topología y direccionamiento

(a) La LAN de cada organismo gubernamental debe estructurarse en base a una de las siguientes topologías de red:

• Topología estrella: Es aquella en la cual todos los puntos deben conectarse a un dispositivo central en la red.

• Malla completa: Es aquella en la cual todos los dispositivos deben tener conexión redundante entre sí.

• Malla parcial: Es aquella en la cual algunos dispositivos deben tener conexión redundante con otros dispositivos en la red.

(b) Todo direccionamiento de la red debe estructurarse en base a una de estas clases de direcciones IP privadas[8]:

• Direcciones de Clase A, las cuales comprenden un rango desde la 10.0.0.0 hasta la 10.255.255.255 para 16,777,214 dispositivos por red.

• Direcciones de Clase B, las cuales comprenden un rango desde la 172.16.0.0 hasta la 172.31.255.255 para 65,534 dispositivos por red.

• Direcciones de Clase C, las cuales comprenden un rango desde la 192.168.0.0 hasta la 192.168.255.255 para 254 dispositivos por red.

(c) Debe implementarse procesos para mejorar la segmentación de la red, tales como:

(i) División de sub-redes[9] como técnica de direccionamiento de la red.

[7] Hace referencia a un conjunto de dispositivos o computadores interconectados entre sí para el intercambio de información.

[8] Son direcciones IP utilizadas únicamente para la comunicación dentro de una red datos, por lo que estas direcciones IP no son utilizadas para el servicio de Internet.

[9] Es una técnica utilizada para la división de redes de datos en redes más pequeñas, bajo una misma mascara de red.

NORTIC A1:2014



(ii) Máscaras de sud-red de tamaño Variable[10] (VLSM, por sus siglas en inglés) como solución de direccionamiento y reducir el desperdicio de direcciones IP[11].

(iii) Sumarización de direcciones IP[12], para la optimización recursos en los cálculos de las rutas IP.

(iv) Cualquier otro que se considere necesario.

Apartado 4.04.4.4. Enrutadores y conmutadores

(a) El enrutador debe contar con las siguientes características:

(i) Soportar mínimamente los siguientes protocolos:

• Protocolo de Información de Enrutamiento[13] (RIP, por sus siglas en inglés).

• Protocolo del Primer Camino Más Corto[14] (OSPF, por sus siglas en inglés).

(ii) Soporte para direccionamiento IPV4[15] e IPV6[16].

(iii) Herramientas para realizar el respaldo de las configuraciones.

(iv) Soporte o garantía por parte del proveedor, en caso de averías o daños.

(v) El enrutador debe ser interoperable con cualquier otro equipo de la red.

(vi) Acceso vía línea de comando y gráfica.

(vii) Controles de autenticación para el acceso.[10] Es una técnica para brindar una mayor flexibilidad en uso de sub-redes, permitiendo al organismo dividir un

sistema independiente utilizando más de una máscara de sub-red.[11] Es una numeración que se le asigna de manera manual o automática a un dispositivo para identificarlo

dentro de una red de datos.[12] Es un método para reducir el número de entradas de direcciones IP al enrutador, teniendo como resultado

una automatización en el cálculo de rutas.[13] Es un protocolo de tipo vector-distancia empleado para intercambiar información sobre redes IP, el cual

utiliza la cantidad de enrutadores presentes en una ruta.[14] Es un protocolo de enrutamiento de tipo estado-enlace que utiliza el algoritmo Dijkstra para calcular la ruta

más corta hacia un destino en específico.[15] Es la cuarta versión del protocolo IP de 32 bits de longitud y fue la primera versión en ser implementada.[16] Es la sexta versión del protocolo IP de 64 bit de longitud, con el fin de cubrir el agotamiento de las direcciones

IPV4.

NORTIC A1:2014



(b) El conmutador debe contar con las siguientes características:

(i) Compatibilidad con los estándares del IEEE:

• IEEE 802.1[17], para evitar el acceso no autorizado a la red de datos por medio de la capa 2[18].

• IEEE 802.3u[19] y superiores, como estándar para los medios Ethernet[20].

(ii) Soporte para los siguientes protocolos de gestión remota:

• Protocolo Simple de Administración de Red (SNMP, por sus siglas en inglés).

• Protocolo de Red de Telecomunicación[21] (Telnet, por sus siglas en inglés).

• Protocolo de Transferencia de Hipertexto[22] (HTTP, por sus siglas en inglés).

(iii) Luces que indiquen el estado del equipo, tales como:

• Encendido.

• Actividad de conexión.

• Conexión estable.

• Cualquier otro estado necesario.

(iv) Debe tener herramientas para realizar respaldo de las configuraciones.

(v) Debe tener soporte o garantía por parte del proveedor, en caso de averías o daños.

[17] Es una norma de la IEEE para el control de acceso a la red mediante el uso de puertos de comunicación.[18] Referente al modelo OSI, es la capa que se encarga de la transmisión fiable de datos y direccionamiento del

control de acceso a los medios.[19] Es un estándar de la IEEE para medios de transmisión Ethernet con velocidades de 100 Mbps.[20] Son los diferentes tipos de vías por la cual se puede establecer una conexión entre dos o más dispositivos o

computadores dentro del estándar Ethernet.[21] Es un protocolo que nos permite acceder remotamente a otro equipo mediante una terminal, es decir sin

gráficos.[22] Es un protocolo utilizado para realizar la transferencia de texto o hipervínculos, a través de la web.

NORTIC A1:2014



(vi) Debe ser interoperable con cualquier otro equipo de la red.

(vii) Debe permitir la implementación de Red de Área Local Virtuales[23] (VLAN, por sus siglas en inglés).

(viii) Debe permitir configuraciones para la segmentación de la red[24].

Apartado 4.04.4.4. Conexión física entre dispositivos

(a) Si la longitud del segmento de red de dato es igual o menor a 100 metros, debe utilizarse la configuración en base a:

• 100BASE-T[25], para Fast Ethernet[26] sobre Par Trenzado sin Blindaje[27] (UTP, por sus siglas en inglés).

• 1000BASE-T[28], para Gigabite Ethernet sobre Par Trenzado sin Blindaje (UTP, por sus siglas en inglés).

(b) Si la longitud máxima del segmento es de 550 metros, debe utilizarse Gigabit Ethernet[29] 1000BASE-LX[30].

(c) Si la longitud máxima del segmento es de 220 metros, debe utilizarse Gigabit Ethernet 1000BASE- SX[31] 62.5 de micrones[32].

(d) Todo el cableado de la red debe estar etiquetado e identificado.

(e) Las categorías de cable UTP permitidas son las siguientes:

• Categoría 5e, para soportar velocidades de transmisión de datos hasta los 100 Mbps.

[23] Es una red interna virtual, que permite crear redes lógicas dentro de una misma red física.[24] Es la conexión que existe entre un dispositivo o computador y un equipo de la red datos como un switch o

un router.[25] Es estándar para cables de par trenzado sin blindaje, utilizado para recorrer distancias no mayor a 100

metros a una velocidad de transmisión de 100 Mbps.[26] También conocido como Ethernet de alta velocidad, es un conjunto de estándares de la IEEE para redes

Ethernet con velocidades de 100 Mbps.[27] Es un tipo de cable de par trenzado utilizado para las telecomunicaciones. El trenzado de estos cables anula

las interferencias de fuentes externas.[28] Es un estándar para cables de par trenzado sin blindaje, donde se utilizan los cuatro pares del cableado

simultáneamente para transmitir datos a 1,000 Mbps.[29] Es un estándar para los tipos de cables cuya velocidad de transmisión de datos es de 1,000 Mbps.[30] Es un estándar para cables de fibra óptica que recorren una distancia menor a los 10 kilómetros.[31] Es un estándar para cables de fibra óptica que recorren una distancia menor a los 550 kilómetros.[32] Es la millonésima parte de un metro, y corresponde a una unidad de medida de longitud en el cableado de

fibra óptica.

NORTIC A1:2014



• Categoría 6, para soportar velocidades de transmisión de datos hasta los 1,000 Mbps.

• Categoría 7, para soportar velocidades de transmisión de datos hasta los 10 Gigabit Ethernet.

(f) La configuración del medio de transmisión de datos debe ser en bidireccional simultánea.

(g) El conector terminal para el cableado debe ser:

• Para UTP:

º Conector Registrado 45[33] (RJ-45, por sus siglas en inglés) para UTP.

• Para fibra óptica[34]:

º Conector Cuadrado y el Conector Cuadrado Dúplex[35] (SC, por sus siglas en inglés).

º Conector de Punta Recta (ST, por sus siglas en inglés).

º Conector Lucent[36] (LC, por sus siglas en inglés).

º Conector de Canal de Fibra[37] (FC, por sus siglas en inglés).

º Conector de Interfaz de Datos Distribuida por Fibra[38] (FDDI, por sus siglas en inglés).

Sub-sección 4.04.4. Administración de la red privada virtual y la red de área local inalámbrica

(a) Los protocolos de seguridad en las conexiones en una VPN que los organismos deben utilizar son los siguientes:

• Seguridad del protocolo IP[39] (IPsec, por sus siglas en inglés).[33] Es un conector utilizado en el cable UTP para establecer conexiones con los dispositivos de una red de datos.[34] Es un hilo de vidrio o plástico, por el cual se transmiten datos en forma de pulsos de luz.[35] Son conectores para cables de fibra óptica de forma cuadrada, su diseño permite el fácil manejo y la

reducción de daños en la fibra óptica durante su instalación.[36] Es un conector para cable de fibra óptica utilizado para transmisiones de datos de alta densidad.[37] Es un tipo de conector para cables de fibra óptica utilizados en ambientes con altas vibraciones.[38] Es un tipo de conector utilizado en redes de fibra óptica.[39] Es un conjunto de protocolos que proporcionan seguridad al protocolo IP en cuanto a la autenticación y

cifrado de los datos.

NORTIC A1:2014



• Capa de Conexión Segura[40] (SSL, por sus siglas en inglés).

• Intérprete Órdenes Seguras (SSH, por sus siglas en inglés).

(b) Las conexiones VPN deben utilizar algoritmos y protocolos que aseguren la integridad de los datos, tales como:

• Algoritmo de Resumen del Mensaje[41] (MD5, por sus siglas en inglés).

• Algoritmo de Hash[42] Seguro (SHA1, por sus siglas en inglés).

(c) Debe implementarse algoritmos de cifrado de datos[43], tales como:

• El Estándar Triple de Cifrado de Datos[44] (TDES, por sus siglas en inglés).

• El Estándar de Cifrado Avanzado[45] (AES, por sus siglas en inglés).

(d) Los estándares que deben utilizarse para la conexión en la WLAN tienen que estar bajo criterios de la IEEE.

(e) La WLAN debe tener métodos de cifrado como el Acceso WIFI Protegido[46] (WPA, por sus siglas en inglés), el Acceso WIFI Protegido 2 (WPA2, por sus siglas en inglés) y cualquier otro superior.

(f) Debe proveer funcionalidad para las Zonas Desmilitarizadas[47] (DMZ, por sus siglas en inglés), el protocolo de Autenticación Remota para Servicios de Marcado a Usuarios[48] (RADIUS, por sus siglas en inglés) y el Protocolo de configuración Dinámica de Host[49] (DHCP, por sus

[40] Es un protocolo de seguridad para conexiones de transmisión información, el cual emplea autenticación y cifrado de datos.

[41] Es un algoritmo de cifrado que utiliza una codificación de 128 bits.[42] Es una función que utilizada un algoritmo de computación para realizar, a partir de cualquier dato de

entrada, la conversión del mismo a una cadena que solo es posible volver a crear con dicha entrada.[43] Es un proceso que utiliza algoritmos matemáticos para la protección de datos.[44] Encriptación de triple cifrado con una longitud de la clave de 112 bits.[45] Es un algoritmo de cifrado publicado por el Instituto Nacional de Normas y Tecnologías (NIST, por sus siglas

en inglés) del gobierno de Estados Unidos. Se conoce popularmente como Rijndael y es utilizado para la criptografía simétrica.

[46] Protocolo utilizado para la protección de las redes inalámbricas, adoptando la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red.

[47] Es una red de datos localizada entre la red de datos del organismo y la red externa, esta funciona como una zona de seguridad en donde las conexiones externas tienen restringido el acceso a la red de datos del organismo, evitando así, comprometer la seguridad del mismo.

[48] Es un protocolo de autentificación para acceso a redes.[49] Es un protocolo de red, el cual permite a los ordenadores obtener una dirección IP de manera automática,

NORTIC A1:2014



siglas en inglés).

(g) Debe estar en una sub-red diferente a las demás redes.

Sub-sección 4.04.4. Estructura del centro de datos y administración de servidores

Los organismos gubernamentales deben disponer de una topología de red[50] del centro de datos, la cual permita identificar las diferentes áreas de operación, disposición de equipos y cableados. Del mismo modo, debe contar con un sistema de ventilación y espacios físicos adecuados. Los servidores de datos deben estar administrados contando con políticas de seguridad y herramientas de respaldo de información, así como también con los requerimientos mínimos de hardware para su operación.

Apartado 4.04.4.4. Topología del centro de datos

(a) Debe crearse un diseño de la topología como se muestra en el Anexo B. Diseño para la topología del centro de datos.

(b) Debe contar con un Cuarto de Entrada[51] (ER, por sus siglas en inglés) para la conexión del proveedor del servicio.

(c) Debe contar con un Área Central de Distribución[52] (MDA, por sus siglas en inglés) para la conexión del cableado Cruzado Principal[53] (MC, por sus siglas en inglés).

(d) Debe contar con un Área Horizontal de Distribución[54] (HDA, por sus siglas en inglés) para la conexión del cableado Cruzado Horizontal (HC, por sus siglas en inglés).

(e) Debe contar con un Área de Distribución Zonal[55] (ZDA, por sus siglas en inglés) para el punto de consolidación[56].

así como otros parámetros de configuración.[50] Es la arquitectura física y lógica de una red. En esta se representan todos los enlaces y dispositivos que se

relacionan entre sí.[51] Es un área dentro del centro de datos en la cual se encuentran los cables, dispositivos o equipos provistos

por el proveedor servicio.[52] Es donde se encuentra localizado el cableado cruzado principal.[53] También conocido como backbone, es el cableado que conecta el MDA con el HDA.[54] Es el área donde se localiza el cableado cruzado horizontal.[55] Es donde se aloja el cableado horizontal, el cual conecta el HDA con los equipos y armarios en el EDA.[56] Son los puntos de interconexión entre cableados horizontales.

NORTIC A1:2014



(f) Debe contar con un Área de Distribución de Equipos[57] (EDA, por sus siglas en inglés) para la localización de los equipos y armarios.

(g) Debe contar con un área para el centro de operaciones y soporte.

Apartado 4.04.4.4. Cableado del centro de datos

(a) El cableado entre las diferentes áreas debe tener las siguientes especificaciones:

(i) Contar con un cableado horizontal desde HDA a una entrada en el EDA o ZDA.

(ii) El tipo de cable a utilizar debe tener las siguientes especificaciones:

a) Cable de par trenzado de 100 ohm de categoría 6, certificado bajo el estándar ANSI/TIA/EIA-568B.2-1[58].

b) Cable de fibra óptica multimodo[59] 62.5/125 micrones, 50/125 micrones, o algún otro superior, aprobado por el estándar ANSI/TIA/EIA-568-B.3.

c) Cable de fibra óptica monomodo, certificado bajo el estándar ANSI/TIA/EIA-568-B.3[60].

d) Cable coaxial de 75 ohm tipo 734[61] y 735[62].

(iii) La distribución del cableado debe ser mediante bandejas o canaletas que posean las diferentes divisiones, tanto para cableado UTP, coaxial, fibra óptica y el cableado eléctrico.

(iv) Debe elaborarse y aplicarse un esquema de etiquetado para los armarios, cables, paneles de conexión y los cables de conexión entre los paneles.

[57] Es un área dentro de un centro de datos donde se encuentran los dispositivos de almacenamiento y los servidores de aplicaciones del organismo.

[58] Es un estándar que define las características físicas de debe poseer un cable de par trenzado sin blindaje de categoría 6.

[59] Es un tipo de fibra óptica, en el cual los pulsos de luz toman diferentes modos o vías para ser transmitidos dentro de la fibra óptica.

[60] Es un estándar de cable que describe los componentes físicos que debe poseer un cable de fibra óptica.[61] Es un cable de cobre de calibre 26, usado para recorrer distancias menores a los 225 pies.[62] Es un cable de cobre de calibre 20, usado para recorrer distancias menores a los 450 pies.

NORTIC A1:2014



Apartado 4.04.4.4. Condiciones físicas y ambientales del centro de datos

(a) La altura mínima del centro de datos debe ser de 2.6 metros.

(b) El tamaño de la puerta debe ser igual o superior a 1 metro de ancho y 2.13 metros de alto.

(c) La temperatura debe estar entre 20 y 25 grados Celsius.

(d) Debe contar con una alarma contra incendios.

Apartado 4.04.4.4. Administración de servidores del centro de datos

(a) El servidor debe contar con las siguientes especificaciones mínimas:

• Una herramienta de respaldo y un sistema de restauración en caso de fallas.

• Tarjeta de red[63] redundante.

• Reporte o informe de fallas en el hardware y sistema del equipo.

• Utilizar técnicas para el balanceo de cargas[64] cuando exista una saturación en el tráfico de información.

(b) Debe utilizarse servidores de prueba, antes de realizar cambios en la red en un ambiente de producción.

(c) Debe aplicarse políticas de control y manteamiento, tales como:

(i) Establecer políticas y controles para la aplicación de actualizaciones, tomando en cuenta las directrices mencionadas en la sub-sección 5.01.2. Actualización del software adquirido.

(ii) Elaborar políticas de usuario para la asignación de los privilegios de acceso físico al centro de datos, según lo establecido en el apartado 6.03.5.2. Controles de acceso a la infraestructura.

[63] Es una tarjeta o adaptador que permite la comunicación entre dos dispositivos en una red datos, a través de un medio físico o inalámbrico.

[64] Es un tipo de técnica utilizado en informática, en la cual las operaciones realizadas en un servidor son compartidas con otros servidores o recursos en la red, con el objetivo de evitar la saturación información.

NORTIC A1:2014



(iii) Establecer políticas para la generación de copias de respaldo[65] del sistema de acuerdo a lo establecido en la sub-sección 6.02.4. Respaldo de la información.

(iv) Elaborar políticas de seguridad basadas en el uso de sistemas de protección contra intrusos.

(d) Los servidores deben contar mínimamente con los siguientes sistemas de protección:

• Antivirus[66].

• Cortafuegos[67].

(e) Debe utilizarse una o más de las siguientes tecnologías de almacenamiento que soporten Entradas y/o Salidas[68] (I/O, por sus siglas en inglés) o un Conjunto Redundante de Discos Independientes[69] (RAID, por sus siglas en inglés) tales como:

• Acoplamiento de Serie de Tecnología Avanzada[70] (SATA, por sus siglas en inglés).

• Interfaz de Sistema para Pequeñas Computadoras versión 3[71] (SCSI 3, por sus siglas en inglés).

• Acoplamiento Serial SCSI[72] (SAS, por sus siglas en inglés).

• Unidad de Estado Sólido (SSD, por sus siglas en inglés).

• Cualquier otro medio compatible con esas tecnologías.

[65] Son copias de los datos almacenados de un sistema, con el objetivo de tenerlos disponibles en caso de fallas.[66] Es un programa desarrollado con el fin de proteger un computador o servidor contra virus informáticos.[67] También conocido como firewall, es un sistema que brinda protección contra la infiltración de intrusos a los

recursos de una red, equipo o servicio.[68] Para fines de esta norma, es la forma de comunicación que se da entre un sistema de información con un

medio de almacenamiento externo.[69] Es un sistema de almacenamiento de datos que utiliza varios medios de almacenamiento para distribuir o

replicar información.[70] Es una interfaz de datos para transferir información entre una placa base y dispositivos de almacenamiento.[71] Es una interfaz de datos para transferir información en serie, con una velocidad trasmisión de 20MB/s a

80MB/s dependiendo de su implementación, con soporte para 15 dispositivos.[72] Es una interfaz de datos para transferir información en serie, con una velocidad de trasmisión de 3.0 Gbit/s

a 6.0 Gbit/s, con soporte para 65,535 dispositivos.

NORTIC A1:2014



Sub-sección 4.04.4. Administración del servicio de voz sobre IP

(a) El cableado de la red debe estar basado en UTP categoría 5e o superior.

(b) Debe separarse el direccionamiento de la VOIP de la red de datos.

(c) Los conmutadores utilizados para la implementación de la VOIP deben soportar:

• Arquitectura de conmutación en base a VLAN, para una mejor segmentación del tráfico de la red generado por el VoIP.

• Calidad de servicio[73] (QoS, por sus siglas en inglés), para obtener un mejor rendimiento en el tráfico de llamadas en la red.

SECCIÓN 4.04. Documentación de la red de datos

(a) Debe elaborarse un diagrama de la LAN, en el cual se presenten como mínimo los siguientes elementos:

• Dispositivos de la red: Enrutador, conmutador, servidores y cualquier otro equipo de relevancia que contenga la topología.

• Líneas de conexión entre los diferentes dispositivos.

• Nombre de la interfaz física[74] de los dispositivos.

(b) Debe realizarse una documentación del direccionamiento IP de la red que contenga como mínimo los siguientes requerimientos:

• Sub-redes.

• Las VLAN.

• Direcciones IP asignadas y su máscara de red[75].

• Cantidad de equipos en el segmento de red.

[73] Hace referencia al rendimiento de una red telefónica o de computadoras.[74] Para fines de esta norma, es el medio que utilizan los dispositivos o computadores para conectarse a la red

de datos.[75] Permite a los dispositivos identificar cuál es la sud-red a la que pertenecen.

NORTIC A1:2014



• Código de los equipos.

• Paquete de direcciones IP públicas[76] provistas por los Proveedores de Servicio de Internet[77] (ISP, por sus siglas en inglés).

(c) Debe elaborarse un plan de distribución del cableado especificando la siguiente información:

• Lugar de conexión: Este incluye la conexión de los Puntos de Distribución Central (MDF, por sus siglas en inglés) a los Puntos de Distribución Intermedios[78] (IDF, por sus siglas en inglés) o algún otro lugar de conexión en la topología.

• Código de cable que conecta ambos puntos.

• Tipo de conexión cruzada vertical[79] o conexión cruzada horizontal[80], y el número de puerto de conexión[81] en el dispositivo.

• Tipo de cable utilizado.

• Estado de la conexión, si es habilitado o deshabilitado.

(d) Si toda la documentación es realizada a través de un software o una CMDB, este debe proveer toda la información antes descrita y cualquier otra de interés para el organismo gubernamental.

SECCIÓN 4.04. Computación en la nube

Con el objetivo de mejorar los servicios utilizados y ofrecidos por los organismos gubernamentales mediante el uso de la nube computacional, se describen las siguientes pautas que deben implementarse para una efectiva administración y configuración de esos servicios e infraestructura.

[76] Son un tipo de direcciones IP que se utilizan para establecer comunicación a través del Internet, por lo que su uso no aplica a lo interno de una red de datos.

[77] Son todas aquellas empresas que ofrecen el servicio de conexión a Internet.[78] Es el área dentro de una LAN donde se distribuye todo el cableado de datos correspondiente a los usuarios.

Comúnmente también se alojan equipos de redes, tales como, conmutadores, enrutadores o servidores de respaldos.

[79] Es el cableado que conecta el/los IDF con el MDF en una LAN.[80] Es el cableado que conecta un IDF con los equipos de las diferentes áreas de trabajos en una LAN.[81] Hace referencia a una interfaz física para transferencia de datos.

NORTIC A1:2014



(a) Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe cumplir con las siguientes características:

• Auto-servicio bajo demanda[82], en el cual los organismos puedan solicitar recursos sin interacción con el proveedor.

• Acceso a través de diferentes medios, permitiendo a los organismos acceder mediante cualquier dispositivo.

• Agrupación de recursos, en el cual los recursos se encuentren agrupados en un lugar común para diferentes organismos.

• Elasticidad[83], en la cual los organismos puedan aumentar la capacidad de sus recursos de acuerdo a las necesidades.

• Medición del servicio, en donde el organismo pueda monitorear y controlar el uso de sus recursos.

(b) Todo modelo de servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe estar bajo los siguientes criterios:

(i) Para una Infraestructura como Servicio[84] (IaaS, por sus siglas en inglés):

a) Debe proveerse al organismo de procesamiento, almacenamiento, redes y cualquier otra característica de hardware necesitado, en la cual el organismo pueda implementar sus sistemas o aplicaciones.

b) El organismo, debe administrar sus aplicaciones y sistemas dispuestos sobre la infraestructura de la nube computacional.

c) La infraestructura física de la nube computacional debe estar administrada por el proveedor del servicio.

[82] Referente al servicio en la nube computacional, es donde el usuario pueda gestionar los servicios en tiempo real, sin interacción directa con el proveedor del mismo.

[83] Es la capacidad que tienen los servicios ofrecidos, a través de la nube computacional, para aumentar o reducir sus recursos en tiempo real, de acuerdo a la necesidad del usuario.

[84] Es un servicio de computación en la nube, en el cual el cliente tiene a su disposición una infraestructura de datos virtual.

NORTIC A1:2014



(ii) Para una Plataforma como Servicio[85] (PaaS, por sus siglas en inglés):

a) Debe permitírsele al organismo, desarrollar y ejecutar sistemas codificados en base a diferentes lenguajes de programación y tecnologías que el proveedor del servicio brinde soporte.

b) El organismo debe tener control de las aplicaciones y sistemas desarrollados.

c) La infraestructura física de la nube computacional debe estar administrada por el proveedor del servicio.

(iii) Para un Software como Servicio[86] (SaaS, por sus siglas en inglés):

a) El organismo debe hacer uso de todas las aplicaciones que se ejecutan en la infraestructura de la nube computacional.

b) Las aplicaciones ejecutan en la infraestructura de la nube computacional deben ser accesibles por el organismo desde cualquier dispositivo, a través de un navegador web[87].

c) El proveedor del servicio debe administrar y controlar toda la infraestructura de la nube computacional, así como aplicaciones y sistemas.

(c) Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe tener al menos una de las siguientes certificaciones:

• ISO/IEC 27001:2005, sobre técnicas de seguridad de la información y administración de sistemas. Certificada y auditada por la ISO.

• Controles de la Empresa de Servicios 1 y 2 (SOC 1, SOC 2, por sus siglas en inglés) junto con la Declaración sobre Normas de Auditoria 16 y el Estándar Internacional en Aseguramiento de

[85] Es un servicio de computación en la nube, en el cual el cliente tiene a disponible una plataforma para desarrollar y ejecutar diferentes tipos de software, siempre y cuando estos sean compatibles con dicha plataforma de información.

[86] Hace referencia a un modelo de distribución de software donde los datos y el soporte del mismo están alojados en una compañía que da servicios de TIC donde este es accedido desde el navegador.

[87] Es un tipo de software utilizado para acceder de forma gráfica a los recursos disponibles en una red o Internet.

NORTIC A1:2014



Compromisos 340 (SSAE 16/ISAE, por sus siglas en inglés), para medir el control de las informaciones financieras de una organización o presa de servicios.

• Matriz de Control en la Nube[88] (CCM, por sus siglas en inglés), creada por la CSA para controles de seguridad en plataformas de clientes y proveedores de servicios computaciones en la nube.

[88] Es una matriz de control desarrolla por la CSA para ayudar a los clientes a evaluar los niveles de riesgos de seguridad de los proveedores de servicio en la nube computacional.

NORTIC A1:2014



GLOSARIO DE TÉRMINOS

1000BASE-LX

Es un estándar para cables de fibra óptica que recorren una distancia menor a los 10 kilómetros.

1000BASE-SX

Es un estándar para cables de fibra óptica que recorren una distancia menor a los 550 kilómetros

1000BASE-T

Es un estándar para cables de par trenzado sin blindaje, donde se utilizan los cuatro pares del cableado simultáneamente para transmitir datos a 1,000 Mbps.

100BASE-T

Es estándar para cables de par trenzado sin blindaje, utilizado para recorrer distancias no mayor a 100 metros a una velocidad de transmisión de 100 Mbps.

Accesibilidad

Es el grado en que las personas, sin importar su capacidad, puedan acceder y manipular un software.

Acceso WIFI Protegido (WPA)

Protocolo utilizado para la protección de las redes inalámbricas, adoptando la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red.

Acceso WIFI Protegido 2 (WPA2)

Es un protocolo para la protección de las redes inalámbricas que utiliza la encriptación de datos.

Acoplamiento de Serie de Tecnología Avanzada (SATA)

Es una interfaz de datos para transferir información entre una placa base y dispositivos de almacenamiento.

NORTIC A1:2014



Acoplamiento Serial SCSI (SAS)

Es una interfaz de datos para transferir información en serie, con una velocidad de trasmisión de 3.0 Gbit/s a 6.0 Gbit/s, con soporte para 65,535 dispositivos.

Actualización del software

Hace referencia a un consolidado de cambios para ser aplicados a un programa o plataforma para corregir errores y agregar funcionalidades.

Acuerdo de Nivel servicio (SLA)

Es un documento que plasma los acuerdos entre un proveedor de servicio y el cliente, en donde se estipulan los requisitos y parámetros que el proveedor se compromete a cumplir para mantener unos niveles de calidad de servicio.

Algoritmo de Resumen del Mensaje (MD5)

Es un algoritmo de cifrado que utiliza una codificación de 128 bits.

Amenaza

Es un evento que puede provocar un daño o perjuicio al organismo.

Ancho de banda

Es la cantidad de bits que se pueden transmitir en un tiempo determinado entre dos dispositivos digitales o en un sistema de transmisión.

ANSI/TIA/EIA-568-B.2-1

Es un estándar que define las características físicas de debe poseer un cable de par trenzado sin blindaje de categoría 6.

ANSI/TIA/EIA-568-B.3

Es un estándar de cable que describe los componentes físicos que debe poseer un cable de fibra óptica.

Antivirus

Es un programa desarrollado con el fin de proteger un computador o servidor contra virus informáticos.

NORTIC A1:2014



Archivos muertos

Son los documentos físicos sin interés inmediato para el organismo gubernamental.

Área Central de Distribución (MDA)

Es donde se encuentra localizado el cableado cruzado principal.

Área de Distribución de Equipos (EDA)

Es un área dentro de un centro de datos donde se encuentran los dispositivos de almacenamiento y los servidores de aplicaciones del organismo.

Área de Distribución Horizontal (HDA)

Es el área donde se localiza el cableado cruzado horizontal.

Área de Zona de Distribución (ZDA)

Es un área donde se distribuye el cableado proveniente de la MDA.

Áreas no seguras

Hace referencia a los lugares no seguros dentro del organismo que solo el personal autorizado puede transitar, tomando precauciones para evitar lesiones.

Áreas seguras

Hace referencia a los lugares seguros dentro del organismo que los empleados y visitantes pueden transitar sin correr ningún peligro.

Auto-servicio bajo demanda

Referente al servicio en la nube computacional, es donde el usuario pueda gestionar los servicios en tiempo real, sin interacción directa con el proveedor del mismo.

Balanceo de cargas

Es un tipo de técnica utilizado en informática, en la cual las operaciones realizadas en un servidor son compartidas con otros servidores o recursos en la red, con el objetivo de evitar la saturación información.

NORTIC A1:2014



Barra de herramientas

Es un elemento que contiene las funciones principales de una aplicación en forma de íconos o hipervínculos.

Base de Datos de Imagen con Multi-Resolución Constante (MRSID)

Es un estándar abierto para compresión de imágenes raster.

Base de Datos de la Gestión de Configuración (CMDB)

Es una base de datos central de todos los elementos de configuración de un sistema de información, ya sea hardware, software, documentación o cualquier otro elemento.

Bases de datos

Son un conjunto de datos almacenados de manera ordenada y que guardan relación entre ellos para su uso posterior.

bzip2

Es un programa de compresión con licencia BSD, en donde el porciento de compresión depende del tamaño del archivo.

Cable coaxial tipo 734

Es un cable de cobre de calibre 26, usado para recorrer distancias menores a los 225 pies.

Cable coaxial tipo 735

Es un cable de cobre de calibre 20, usado para recorrer distancias menores a los 450 pies.

Cableado Cruzado Horizontal (HC)

Es donde se aloja el cableado horizontal, el cual conecta el HDA con los equipos y armarios en el EDA.

Cableado Cruzado Principal (MC)

También conocido como backbone, es el cableado que conecta el MDA con el HDA.

NORTIC A1:2014



Calidad de servicio (QoS)

Hace referencia al rendimiento de una red telefónica o de computadoras.

Capa 2

Referente al modelo OSI, es la capa que se encarga de la transmisión fiable de datos y direccionamiento del control de acceso a los medios.

Capa de Conexión Segura (SSL)

Es un protocolo de seguridad para conexiones de transmisión de información, el cual emplea autenticación y cifrado de datos.

Catálogo de información reutilizable

Conjunto de datos bajo los cuales se publica la información en formato abierto.

Catálogo de servicios

Es un listado de todos los servicios activos de un organismo. Este catálogo contiene todas las informaciones necesarias para el cliente sobre dichos servicios.

Centro de datos

Es un área donde se concentran y operan los equipos que conforman la infraestructura TIC que utilizan los organismos para administrar sus actividades y servicios.

Certificado digital

Es un documento digital que permite garantizar la identidad de una persona en la red, a través de una firma electrónica. Se utiliza como una forma segura de garantizar la autentificación, integridad y confidencialidad de la información.

Chat

Es una aplicación utilizada como canal de comunicación entre una persona y otra.

Cifrado de datos

Es un proceso que utiliza algoritmos matemáticos para la protección de datos.

NORTIC A1:2014



Códec libre de compresión de audio sin pérdida (FLAC)

Es un formato abierto de audio que permite la compresión sin pérdida.

Código fuente

Es un conjunto de instrucciones redactas en base a las reglas sintácticas de un lenguaje de programación para desarrollar un software determinado.

Componentes

Referido a la web, son aplicaciones que agregan funcionalidades específicas a un manejador de contenidos.

Compresión

Refiriéndose a los datos, es reducir el volumen de los mismos con el objetivo de ganar más espacio libre.

Computación en la nube

También llamada nube computacional, es una tecnología que permite la utilización de servicios de cómputos por medio de Internet.

Conector Cuadrado y el Conector Cuadrado Dúplex (SC)

Son conectores para cables de fibra óptica de forma cuadrada, su diseño permite el fácil manejo y la reducción de daños en la fibra óptica durante su instalación.

Conector de Canal de Fibra (FC)

Es un tipo de conector para cables de fibra óptica utilizados en ambientes con altas vibraciones.

Conector de Interfaz de Datos Distribuida por Fibra (FDDI)

Es un tipo de conector utilizado en redes de fibra óptica.

Conector Lucent (LC)

Es un conector para cable de fibra óptica utilizado para transmisiones de datos de alta densidad.

NORTIC A1:2014



Conector Registrado 45 (RJ-45)

Es un conector utilizado en el cable UTP para establecer conexiones con los dispositivos de una red de datos.

Conexión cruzada horizontal

Es el cableado que conecta un IDF con los equipos de las diferentes áreas de trabajos en una LAN.

Conexión cruzada vertical

Es el cableado que conecta el/los IDF con el MDF en una LAN.

Conjunto Redundante de Discos Independientes (RAID)

Es un sistema de almacenamiento de datos que utiliza varios medios de almacenamiento para distribuir o replicar información.

Conmutadores

También conocido como switch, son dispositivos utilizados para conectar dos o más segmentos de redes.

Copias de respaldo

Son copias de los datos almacenados de un sistema, con el objetivo de tenerlos disponibles en caso de fallas.

Correo electrónico

Es un servicio de mensajería en red que permite el intercambio de mensajes, a través de sistemas de comunicación electrónicos.

Cortafuegos

También conocido como firewall, es un sistema que brinda protección contra la infiltración de intrusos a los recursos de una red, equipo o servicio.

Cuarto de Entrada (ER)

Es un área dentro del centro de datos en la cual se encuentran los cables, dispositivos o equipos provistos por el proveedor servicio.

NORTIC A1:2014



Datos

Hace referencia a un valor íntegro sobre un elemento determinado, el cual por si solo carece de importancia y a través del procesamiento adecuado logra convertirse en información útil.

Datos abiertos

Son datos que están disponibles para cualquier persona sin restricciones, los cuales pueden ser utilizados, reutilizados y redistribuidos libremente.

Derecho de autor

Es el conjunto de leyes y principios que provee protección a los autores, artistas y demás creadores para sus creaciones.

Digitalizar

Hace referencia a la transformación de un documento físico a una imagen o medio digital para su visualización y manipulación en un dispositivo electrónico.

Dirección IP

Es una numeración que se le asigna de manera manual o automática a un dispositivo para identificarlo dentro de una red de datos.

Direcciones IP privadas

Son direcciones IP utilizadas únicamente para la comunicación dentro de una red datos, por lo que estas direcciones IP no son utilizadas para el servicio de Internet.

Direcciones IP públicas

Son un tipo de direcciones IP que se utilizan para establecer comunicación a través del internet, por lo que su uso no aplica a lo interno de una red de datos.

Dispositivo de captura de imágenes

Es un dispositivo que permite convertir un documento o imagen física en una imagen digital.

NORTIC A1:2014



División de sub-redes

Es una técnica utilizada para la división de redes de datos en redes más pequeñas, bajo una misma mascara de red.

DjVu

Es un formato de archivo para guardar imágenes escaneadas.

Documento de declaración de aplicabilidad

Hace referencia al documento que establece cuáles controles se aplicarán al organismo gubernamental en la implementación del SASI.

Documento Office Open XML (DOCX)

Es un formato de archivo libre especial para documentos de texto con formato.

Documento primario

Hace referencia a documentos que han sido publicados o liberados desde su fuente origen, de manera que se pueda garantizar la integridad en su contenido y autenticidad.

Elasticidad

Es la capacidad que tienen los servicios ofrecidos, a través de la nube computacional, para aumentar o reducir sus recursos en tiempo real, de acuerdo a la necesidad del usuario.

Energy Star

Es un programa de la Agencia de Protección Ambiental de los Estados Unidos (EPA, por sus siglas en inglés) creado en 1992 para promover los productos eléctricos con consumo eficiente de electricidad.

Enlace

Los enlaces, también conocidos como hipervínculos o hiperenlaces, son elementos dentro de un portal web que hacen referencia a otros contenidos que se encuentran dentro del mismo portal web o en un portal externo.

NORTIC A1:2014



Enrutadores

También conocido como router, son dispositivos utilizados para crear e intercomunicar sud-redes de datos.

Entorno de producción

Es el ambiente real en donde los usuarios finales utilizan los sistemas de información y manejan datos concretos. Además, en este entorno las fallas ocurridas pueden afectar al usuario u organismo.

Entradas y/o Salidas (I/O)

Para fines de esta norma, es la forma de comunicación que se da entre un sistema de información con un medio de almacenamiento externo.

Estándar de Cifrado Avanzado (AES)

Es un algoritmo de cifrado publicado por el Instituto Nacional de Normas y Tecnologías (NIST, por sus siglas en inglés) del gobierno de Estados Unidos. Se conoce popularmente como Rijndael y es utilizado para la criptografía simétrica.

Estándar Triple de Cifrado de Datos (TDES)

Encriptación de triple cifrado con una longitud de la clave de 112 bits.

Estándares abiertos

Hace referencia a formatos que permiten su uso y manipulación libremente.

Estándares cerrados

Hace referencia a formatos que permiten su uso para consulta, pero sin permisos de manipulación.

Fast Ethernet

También conocido como Ethernet de alta velocidad, es un conjunto de estándares de la IEEE para redes Ethernet con velocidades de 100 Mbps.

Fibra óptica

Es un hilo de vidrio o plástico, por el cual se transmiten datos en forma de pulsos de luz.

NORTIC A1:2014



Fibra óptica monomodo

Es un tipo de fibra óptica, en el cual los pulsos de luz tienen un solo modo o vía para ser transmitidos dentro de la fibra óptica.

Fibra óptica multimodo

Es un tipo de fibra óptica, en el cual los pulsos de luz toman diferentes modos o vías para ser transmitidos dentro de la fibra óptica.

Formato de Archivo de Imagen Etiquetado (TIFF)

Es un formato utilizado mayormente para el almacenamiento de imágenes, que permite una compresión sin pérdida de la calidad con una profundidad de color de 16 bits.

Formato de Documento Portátil (PDF)

Es un formato de almacenamiento de datos que funciona y puede ser visualizado independientemente de la plataforma, siendo así portátil y multiplataforma para su visualización.

Formato ISO

Es en donde se encuentra almacenada una copia exacta de algún sistema de archivo, ya sea discos duros, CD, DVD, entre otros.

Formatos

Hace referencia al tipo de codificación de la información en un archivo.

Fuerza bruta

Hace referencia al método de recuperar una contraseña probando todas las combinaciones posibles hasta encontrar el acceso.

Función Hash

Es una función que utilizada un algoritmo de computación para realizar, a partir de cualquier dato de entrada, la conversión del mismo a una cadena que solo es posible volver a crear con dicha entrada.

NORTIC A1:2014



Gigabit Ethernet

Es un estándar para los tipos de cables cuya velocidad de transmisión de datos es de 1,000 Mbps.

GNU ZIP (gzip)

Es un formato de compresión libre con licencia GNU, el cual solo comprime los datos, pero no los conserva.

Gráficos de Red Portátiles (PNG)

Es un formato de imagen orientado a la compresión sin pérdida de calidad. Soporta transparencia, al igual que el GIF y no soporta animaciones.

Gráficos Vectoriales Redimensionables (SVG)

Es un formato para presentar gráficos vectoriales bidimensionales estáticos o animados.

Grupo Conjunto de Expertos en Fotografía (JPG)

Es un formato orientado a la captura de imágenes digitales de compresión con pérdida. Aunque su uso es muy común en la web, este no permite transparencia y se puede lograr un tamaño de imagen superior a los 65 mil pixeles, tanto de anchura como de altura.

Hardware

Se refiere a todas las partes físicas o tangibles de un sistema de información.

Herramienta de búsqueda

Es una herramienta de consulta que arroja resultados basados en los criterios de búsqueda del usuario.

Hoja de Cálculo de Documento Abierto (ODS)

Es un formato de archivo de estándar abierto especial para hojas de cálculo.

Hoja de Cálculo Office Open XML (XLSX)

Es un formato de archivo libre especial para hojas de cálculo.

NORTIC A1:2014



Identificador Uniforme de Recursos (URI)

Es una dirección exacta y precisa que permite ubicar un recurso en Internet o en una red de cómputos.

IEEE 802.1

Es una norma de la IEEE para el control de acceso a la red mediante el uso de puertos de comunicación.

IEEE 802.3u

Es un estándar de la IEEE para medios de transmisión Ethernet con velocidades de 100 Mbps.

Incidente

Es cualquier funcionamiento incorrecto de cualquiera de los servicios tecnológicos.

Información reutilizable

Hace referencia a datos o informaciones del sector público que puedan ser consumidas y/o transformadas por personas físicas o jurídicas, ya sea para fines comerciales o no.

Infraestructura como Servicio (IaaS)

Es un servicio de computación en la nube, en el cual el cliente tiene a su disposición una infraestructura de datos virtual.

Infraestructura de TIC

Para fines de esta norma, hace referencia al conjunto de equipos y elementos en lo que se sustenta un sistema de información.

Instituto de Ingenieros Eléctricos y Electrónicos (IEEE)

Es una organización profesional dedica al avance de la innovación tecnológica y a la creación de estándares tecnológicos.

Instituto Nacional Estadounidense de Estándares (ANSI)

Promueve el uso de las normas estadounidenses internacionalmente. Además,

NORTIC A1:2014



defiende las posiciones en la política, en cuanto a normas de Estados Unidos y las posiciones técnicas en organizaciones dedicadas a las normas internacionales.

Interfaz de Sistema para Pequeñas Computadoras versión 3 (SCSI 3)

Es una interfaz de datos para transferir información en serie, con una velocidad trasmisión de 20MB/s a 80MB/s dependiendo de su implementación, con soporte para 15 dispositivos.

Interfaz de usuario

Es el medio por el cual el usuario puede interactuar con un dispositivo o computador.

Interfaz física

Para fines de esta norma, es el medio que utilizan los dispositivos o computadores para conectarse a la red de datos.

Intranet

Es una red interna para compartir de forma segura cualquier información o aplicación y evitar que cualquier usuario de Internet pueda ingresar a la red.

Inventario

Es un registro organizado de los activos pertenecientes o bajo la responsabilidad de un organismo determinado.

Lenguaje de Consulta Estructurados (SQL)

El SQL es un lenguaje de programación utilizado para acceder a bases de datos relacionales.

Lenguaje de consulta para RDF (SPARQL)

Es un lenguaje de consulta para grafos estandarizados en RDF.

Lenguaje de Marcado Geográfico (GML)

Es un lenguaje de marcado geográfico abierto para modelar información geográfica.

NORTIC A1:2014



Lenguaje de Marcado Keyhole (KML)

Es un lenguaje de marcado geográfico abierto para modelar información geográfica en tres dimensiones.

Lenguaje de Marcas de Hipertexto, versión 5 (HTML5)

Es la versión 5 del lenguaje de programación HTML, de ahí su nombre HTML5, para desarrollo de páginas web.

Lenguaje de Marcas Extensible (XML)

Es un lenguaje desarrollado por el Consorcio World Wide Web (W3C) para almacenar datos en forma legible. Este es utilizado para el intercambio de información entre diferentes plataformas.

Licencia de Base de Datos Abierta (ODBL)

Es un contrato de licencia en donde se permite la libre manipulación de una base de datos.

Licencia de Bienes de Creación Común de Atribución-CompartirIgual (CC BY-SA)

Es una licencia de derecho de autor que permite al beneficiario manipular en todos los sentidos el contenido o producto, manteniendo los principios de esta licencia.

Licencia Pública General de GNU (GNU/GLP)

Es una licencia que permite al usuario, compañía u organismo, dar uso público a un contenido o código fuente de manera libre y sin restricción.

Marco de Descripción de Recursos (RDF)

Es un modelo estándar del Consorcio World Wide Web (W3C), diseñado para almacenar datos en forma legible e intercambio de datos en la web.

Mascara de red

Permite a los dispositivos identificar cuál es la sub-red a la que pertenecen.

NORTIC A1:2014



Máscaras de sud-red de tamaño variable (VLSM)

Es una técnica para brindar una mayor flexibilidad en uso de sub-redes, permitiendo al organismo dividir un sistema independiente utilizando más de una máscara de sub-red.

Matriz de Control en la Nube (CCM)

Es una matriz de control desarrolla por la CSA para ayudar a los clientes a evaluar los niveles de riesgos de seguridad de los proveedores de servicio en la nube computacional.

Medios Ethernet

Son los diferentes tipos de vías por la cual se puede establecer una conexión entre dos o más dispositivos o computadores dentro del estándar Ethernet.

Menú

Son una serie de opciones dispuestas para el usuario para poder acceder a diferentes secciones o páginas internas de un portal web.

Metadatos

Son un conjunto de información que describe las características de otra información. Es “datos sobre datos”.

Micrones

Es la millonésima parte de un metro, y corresponde a una unidad de medida de longitud en el cableado de fibra óptica.

Módulos

Los módulos son funciones extras que extienden la funcionalidad de una plataforma; estos pueden brindar funcionalidades sin depender de una plataforma.

Multimedia

Se refiere al conjunto de elementos de audio, video, textos, imágenes o animaciones usados para comunicar una información.

NORTIC A1:2014



Navegador web

Es un tipo de software utilizado para acceder de forma gráfica a los recursos disponibles en una red o Internet.

N-capas

Es utilizado para referirse al número de niveles que componen la arquitectura de un software.

Notación de objetos de JavaScript (JSON)

Es un formato ligero usado como alternativa al XML para intercambio de datos.

Notación Turtle

Conocido también como Lenguaje de Notación 3 o “N3”, es un lenguaje utilizado para sintaxis XML de RDF.

Ogg Theora

Es un formato abierto de video que permite compresión sin pérdida.

Ogg Vorbis

Es un formato abierto de audio general con pérdida.

Opus

Es un formato abierto de audio que permite compresión con pérdida.

Organización Internacional de Normalización (ISO)

Es una organización encargada de la creación de normas y estándares internacionales en diferentes áreas como tecnologías, seguridad, servicios, entre otros.

Par Trenzado sin blindaje (UTP)

Es un tipo de cable de par trenzado utilizado para las telecomunicaciones. El trenzado de estos cables anula las interferencias de fuentes externas.

Plataforma como Servicio (PaaS)

Es un servicio de computación en la nube, en el cual el cliente tiene a disponible

NORTIC A1:2014



una plataforma para desarrollar y ejecutar diferentes tipos de software, siempre y cuando estos sean compatibles con dicha plataforma de información.

Plataforma de TIC

Para fines de esta norma, se refiere al tipo de arquitectura, sistema operativo, lenguaje de programación o interfaz de usuario, que en conjunto establecerán el sistema base para hacer operar determinados hardware o software dentro de un organismo.

Portal web

Es un conjunto de páginas electrónicas que presentan información y recursos de interés al usuario.

Portales web

Es un conjunto de páginas electrónicas que presentan información y recursos de interés al usuario.

Protocolo de Autenticación Remota para Servicios de Marcado a Usuarios (RADIUS)

Es un protocolo de autentificación para acceso a redes.

Protocolo de configuración Dinámica de Host (DHCP)

Es un protocolo de red, el cual permite a los ordenadores obtener una dirección IP de manera automática, así como otros parámetros de configuración.

Protocolo de Datos Abiertos (ODATA)

Es un protocolo abierto de acceso a base de datos.

Protocolo de Información de Enrutamiento (RIP)

Es un protocolo de tipo vector-distancia empleado para intercambiar información sobre redes IP, el cual utiliza la cantidad de enrutadores presentes en una ruta.

Protocolo de Internet (IP)

Es un protocolo de comunicación de datos, a través de un medio digital.

NORTIC A1:2014



Protocolo de Internet versión 4 (IPV4)

Es la cuarta versión del protocolo IP de 32 bits de longitud y fue la primera versión en ser implementada.

Protocolo de Internet versión 6 (IPV6)

Es la sexta versión del protocolo IP de 64 bit de longitud, con el fin de cubrir el agotamiento de las direcciones IPV4.

Protocolo de Red de Telecomunicación (Telnet)

Es un protocolo que nos permite acceder remotamente a otro equipo mediante una terminal, es decir sin gráficos.

Protocolo de Transferencia de Hipertexto (HTTP)

Es un protocolo utilizado para realizar la transferencia de texto o hipervínculos, a través de la web.

Protocolo del Primer Camino Más Corto (OSPF)

Es un protocolo de enrutamiento de tipo estado-enlace que utiliza el algoritmo Dijkstra para calcular la ruta más corta hacia un destino en específico.

Prototipo

Es la representación inicial de un producto entregable, con el objetivo de aplicarle mejoras o correcciones.

Proveedores de Servicio de Internet (ISP)

Son todas aquellas empresas que ofrecen el servicio de conexión a Internet.

Publicación Electrónica (ePub)

Es un formato estándar de código abierto utilizado en publicaciones electrónicas para leer textos e imágenes.

Puerto de conexión

Hace referencia a una interfaz física para transferencia de datos.

NORTIC A1:2014



Punto de consolidación

Son los puntos de interconexión entre cableados horizontales.

Puntos de Distribución Central (MDF)

Es el área dentro de una LAN donde se encuentra todo el cableado de datos principal y desde esta área se distribuye el cableado hacia el/los IDF.

Puntos de Distribución Intermedios (IDF)

Es el área dentro de una LAN donde se distribuye todo el cableado de datos correspondiente a los usuarios. Comúnmente también se alojan equipos de redes, tales como, conmutadores, enrutadores o servidores de respaldos.

Raster

Es un formato de imagen que su contenido está compuesto por pixeles.

Rastro de navegación

Muestra la profundidad en la que estamos navegando en un portal, este comúnmente se encuentra en la parte superior donde esta fácilmente visible al usuario.

Red de Área Local (LAN)

Es una red de datos con un alcance geográficamente limitado.

Red de Área Local Inalámbrica (WLAN)

Es un sistema de comunicación inalámbrico, utilizado como otra opción a las redes locales, usando la tecnología de radiofrecuencia para llevar información de un punto a otro, permitiendo mayor movilidad y disminución en las conexiones cableadas.

Red de Área Local Virtual (VLAN)

Es una red interna virtual, que permite crear redes lógicas dentro de una misma red física.

Red de datos

Hace referencia a un conjunto de dispositivos o computadores interconectados

NORTIC A1:2014



entre sí para el intercambio de información.

Red Privada Virtual (VPN)

Es una red virtual privada que permite de forma segura la interacción de datos sobre redes compartidas utilizando como vínculo el Internet.

Redes sociales

Son medios virtuales de comunicación que funcionan como una plataforma para que los usuarios puedan interactuar con otras personas que tienen intereses en común.

Repositorio

Es un sitio en la red donde se almacena y mantiene información digital, habitualmente bases de datos o archivos informáticos.

Resolución de pantalla

Es la cantidad máxima de pixeles que pueden ser mostrados en un monitor.

Sistema de Respuesta de Voz Interactiva (IVR)

Es un sistema telefónico capaz de recibir una llamada e interactuar con el humano, a través de grabaciones de voz y el reconocimiento de respuestas simples, mediante las teclas del teléfono o el móvil.

Riesgo

Es la posibilidad o probabilidad potencial de que un daño o amenaza afecte a un organismo.

Riesgo residual

Hace referencia al riesgo que queda luego de haber tomado todas las medidas preventivas de reducción de riesgos.

Segmento de red

Es la conexión que existe entre un dispositivo o computador y un equipo de la red datos como un switch o un router.

NORTIC A1:2014



Seguridad del protocolo IP (IPsec)

Es un conjunto de protocolos que proporcionan seguridad al protocolo IP en cuanto a la autenticación y cifrado de los datos.

Servidores

Son equipos informáticos que forman parte de una red de datos y que proveen servicios a otros equipos en dicha red, llamados clientes.

Sindicación Realmente Simple (RSS)

Es un formato XML utilizado para compartir contenidos en la Web.

Sistema de inventario

Software que permite realizar y controlar todo el proceso de inventario.

Sistema operativo

Es un software utilizado en los sistemas de información para gestionar y administrar los recursos de los dispositivos o computadores.

Sitio de almacenamiento

Hace referencia a un lugar específico dentro de un medio de almacenamiento. Esto puede ser una carpeta determinada dentro de un repositorio de documentos o carpetas.

Software

Se refiere a todos los componentes lógicos o intangibles de un sistema de información, tales como programas, aplicaciones, sistemas operativos, entre otros.

Software como Servicio (SaaS)

Hace referencia a un modelo de distribución de software donde los datos y el soporte del mismo están alojados en una compañía que da servicios de TIC donde este es accedido desde el navegador.

Software gubernamental

Para fines de esta norma, son todas las herramientas aplicaciones y software

NORTIC A1:2014



desarrollados a la medida o para soluciones específicas, utilizadas por el estado.

Software propietario

Es el software que para su uso debe pagarse un licenciamiento al proveedor y cuya modificación no es permitida.

Sub-portal

Es un portal web que depende de otro portal, es básicamente una extensión del portal madre, específicamente para presentar una información exclusiva que tiene mucha relevancia, pero que sigue estando relacionado con el portal principal.

Sub-redes

Se refiere a una serie de redes contenidas dentro de una red, las cuales se han dividen para aprovechar mejor las direcciones IPV4.

Sumarización de direcciones IP

Es un método para reducir el número de entradas de direcciones IP al enrutador, teniendo como resultado una automatización en el cálculo de rutas.

Tarjeta de red

Es una tarjeta o adaptador que permite la comunicación entre dos dispositivos en una red datos, a través de un medio físico o inalámbrico.

Texto de Documento Abierto (ODT)

Es un formato de archivo libre especial para documentos de texto con formato.

Tipo de fuente

Es la forma en la cual se representa o visualiza una letra, número o símbolo.

Topología de red

Es la arquitectura física y lógica de una red. En esta se representan todos los enlaces y dispositivos que se relacionan entre sí.

Usabilidad

Es la facilidad con la que el usuario puede interactuar con un software para la

NORTIC A1:2014



realización de una tarea en específica. Este término fue definido por primera vez por Jakob Nielsen considerado el padre la usabilidad.

Usuario

Hace referencia a la persona que consume o manipula un producto, servicio o información.

Valores Separados por Comas (CSV)

Es un formato de archivo de datos que su contenido está separado por comas.

Valores Separados por Delimitadores (TSV)

Es un formato de texto simple utilizado para el almacenamiento de información en forma de tablas. En este, cada registro de la tabla representa una línea del archivo de texto.

Ventanas emergentes

Las ventanas emergentes, también conocidas como pop-up, son ventanas o navegadores que abren automáticamente para presentar un contenido específico, los cuales, en su mayoría, abren sin el permiso o consentimiento del usuario.

Virtualización

Es el uso de un software para crear máquinas virtuales para emular un computador físico.

Vocabulario para Catálogo de Datos (DCAT)

Es un estándar definido por el Consorcio World Wide Web (W3C) y diseñado para facilitar la interoperabilidad entre catálogos de datos publicados en la web.

Voz sobre Protocolo de Internet (VoIP)

Son recursos que permiten que una señal de voz sea transmitida, a través de Internet, mediante el protocolo IP.

Vulnerabilidad

Hace referencia a la incapacidad de defensa frente a una amenaza.

NORTIC A1:2014



WebM

Es un formato abierto de video que permite compresión con baja pérdida de calidad, este fue creado con el fin de establecer un nuevo estándar de video en la web.

WebP

Es un formato de imagen que permite compresión con pérdida y compresión sin perdida.

XviD

Es una códec de compresión de video que permite una alta compresión con baja pérdida de calidad.

ZIP

Es un formato de compresión de archivos sin pérdida que comprime cada uno de los archivos de forma separada.

Zonas Desmilitarizadas (DMZ)

Es una red de datos localizada entre la red de datos del organismo y la red externa, esta funciona como una zona de seguridad en donde las conexiones externas tienen restringido el acceso a la red de datos del organismo, evitando así, comprometer la seguridad del mismo.

NORTIC A1:2014



ABREVIATURAS Y ACRÓNIMOS

NO.ABREVIATURAS Y ACRÓNIMOS

INGLÉS ESPAÑOL

1 (I/O) Input/Output Entradas y/o Salidas

2 AESAdvanced Encryption

StandardEstándar de Cifrado

Avanzado

3 ANSIAmerican National Standards Institute

Instituto Nacional Estadounidense de

Estándares

4 Bzip2 BSD Zip Zip bajo licencia BSD

5 CAMWEB N/AComité Administrativo de los

Medios Web

6 CC BY-SACreative Commons

Attribution-Share Alike

Bienes de Creación Común de Atribución-Compartir

Igual

7 CCM Cloud Control Matrix Matriz de Control en la Nube

8 CMDBConfiguration

Management DatabaseBase de Datos de la Gestión

de Configuración

9 COETIC N/AComité de Estándares de Tecnologías de la

Información y Comunicación

10 CONTI N/A Comité de Continuidad

11 CRMCustomer Relationship

Management

Sistema para la Administración de la

Relación con los Clientes

12 CSA Cloud Security AllianceAlianza de Seguridad en la

Nube

13 CSV Comma-Separated Values Valores Separados por Coma

14 DCAT Data Catalog VocabularyVocabulario para Catálogo de

Datos

15 DHCPDynamic Host

Configuration ProtocolProtocolo de Configuración

Dinámica de Host

16 DIGEIG N/ADirección General de Ética e Integridad Gubernamental.

NORTIC A1:2014



17 DMZ Demilitarized Zone Zonas Desmilitarizadas

18 EDAEquipment Distribution

AreaÁrea de Distribución de

Equipos

19 EDT N/AEstructura de Desglose del

Trabajo

20 EIAElectronic Industries

AllianceAlianza de Industrias

Electrónicas

21 ePub Electronic Publication Publicación Electrónica

22 ERPEnterprise Resource

PlanningSistema para la Planificación de Recursos Empresariales

23 FDDIFiber Distributed Data

InterfaceInterfaz de Datos Distribuida

por Fibra

24 FLAC Free Lossless Audio CodecCódec Libre de Compresión

de Audio sin Pérdida

25 GMLGeographic Markup

LanguageLenguaje de Marcado

Geográfico

26 GNU/GPLGNU General Public

LicenseLicencia Pública General de

GNU

27 Gzip GNU Zip Zip bajo licencia GNU

28 HDAHorizontal Distribution

AreaÁrea Horizontal de

Distribución

29 HTML5HyperText Markup Language, version 5

Lenguaje de Marcas de Hipertexto, versión 5

30 HTTPHypertext Transfer

ProtocolProtocolo de Transferencia de

Hipertexto

31 IaaS Infrastructure as a Service Infraestructura como Servicio

32 IDFIntermediate Distribution

FramePuntos de Distribución

Intermedios

33 IEEEInstitute of Electrical and

Electronics EngineersInstituto de Ingenieros

Eléctricos y Electrónicos

34 IPsec Internet Protocol security Seguridad del protocolo IP

35 ISOInternational Organization

for StandardizationOrganización Internacional

de Normalización

36 ISP Internet Service ProviderProveedores de Servicio de

Internet

NORTIC A1:2014



37 ITILInformation Technology

Infrastructure Library

Biblioteca de Infraestructura de Tecnologías de

Información

38 IVR Interactive Voice ResponseSistema de Respuesta de Voz

Interactiva

39 JPGJoint Photographic Experts

GroupGrupo Conjunto de Expertos

en Fotografía.

40 JSON JavaScript Object NotationNotación de objetos de

JavaScript

41 KML Keyhole Markup LanguageLenguaje de Marcado

Keyhole

42 LAN Local Area Network Red de Área Local

43 LC Lucent Connector Conector Lucent

44 MC Main Cross-connect Cableado Cruzado Principal

45 MDA Main Distribution Area Área Central de Distribución

46 MDF Main Distribution FramePuntos de Distribución

Central

47 MRSIDMulti-resolution Seamless

Image DatabaseBase de Datos de Imagen con Multi-Resolución Constante

48 OAI N/AOficina de Libre Acceso a la

Información

49 ODATA Open Data Protocol Protocolo de Datos Abiertos

50 ODBL Open Database LicenseLicencia de Base de Datos

Abierta

51 ODS Open Data SpreadsheetHojas de Cálculo de Documento Abierto

52 ODT Open Document Text Texto de Documento Abierto

53 OPTIC N/AOficina Presidencial de Tecnologías de la


54 OSPF Open Shortest Path First Primer Camino Más Corto

55 PaaS Platform as a Service Plataforma como Servicio

56 PDF Portable Document FormatFormato de Documento

Portátil

57 PNG Open Document Text Gráficos de Red Portátiles

NORTIC A1:2014



58 PPP N/A Puntos Por Pulgadas

59 QoS Quality of Service Calidad de servicio

60 RADIUSRemote Authentication

Dial-In User Service

Autenticación Remota para Servicios de Marcado a

Usuarios

61 RAIDRedundant Array of Independent Disks

Conjunto Redundante de Discos Independientes

62 RDFResource Description

FrameworkMarco de Descripción de

Recursos

63 RFP Request for Proposal Solicitud de Propuesta

64 RIPRouting Information

ProtocolProtocolo de Información de

Enrutamiento

65 RJ-45 Registered Jack 45 Conector Registrado 45

66 RSS Really Simple SyndicationSindicación Realmente

Simple

67 SaaS Software as a Service Software como Servicio

68 SAS Serial Attached SCSI Acoplamiento Serial SCSI

69 SASI N/ASistema para la

Administración de la Seguridad de la Información

70 SATASerial Advanced

Technology AttachmentAcoplamiento de Serie de

Tecnología Avanzada

71 SC Square Connector Conector Cuadrado

72 SCSI 3Small Computers System

Interface 3

Interfaz de Sistema para Pequeñas Computadoras

versión 3

73 SHA1 Secure Hash Algorithm 1 Algoritmo de “Hash” Seguro

74 SLA Service Level Agreement Acuerdos de Nivel de Servicio

75 SNMPSimple Network

Management Protocol

Protocolo para la Transferencia Simple de

Correo Electrónico

76 SPARQLSPARQL Protocol and RDF Query Language

Protocolo SPARQL y Lenguaje de Consulta RDF

77 SQL Structure Query LanguageLenguaje de Consulta

Estructurado

NORTIC A1:2014



78 SSD Solid-State Drive Unidad de Estado Sólido

79 SSH Secure SHellIntérprete de Órdenes

Seguras

80 SSL Secure Sockets Layer Capa de Conexión Segura

81 ST Straight Tip Conector de Punta Recta

82 SVG Scalable Vector GraphicsGráficos Vectoriales Redimencionables

83 TDESTriple Data Encryption

StandardEstándar de Cifrado

Avanzado Triple

84 TelnetTelecommunication

NetworkRed de Telecomunicación

85 TIATelecommunications Industry Association

Asociación de Industria de Telecomunicaciones

86 TIC N/ATecnologías de la


87 TIERTaiwan Institute of Economic Research

Instituto de Investigación Económica de Taiwan

88 TIFF Tagged Image File FormatFormato de Archivo de

Imagen Etiquetado

89 TSV Tab-Separated ValuesValores Separados por

Delimitadores

90 URIUniform Resource

IdentifierIdentificador Uniforme de

Recursos

91 UTP Unshielded Twisted Pair Par Trenzado sin Blindaje

92 VLSMVariable Length Subnet

MaskMáscaras de Sud-red de

Tamaño Variable

93 VPN Virtual Area Network Red Privada Virtual

94 WEBm Web movies Web película

95 Webp Web picture Imagen Web

96 WLANWireless Local Area

NetworkRed de Área Local

Inalámbrica

97 WPA Wi-Fi Protected Access Acceso Wi-fi Protegido

98 WPA2 Wi-Fi Protected Access 2 Acceso Wi-fi Protegido

99 XLSXOffice Open XML

SpreadsheetHoja de Cálculo Office Open

XML

NORTIC A1:2014



100 XMLExtensible Markup

LanguageLenguaje de Marcas

Extensible

101 ZDA Zone Distribution Area Área de Zona de Distribución

102 ZIP N/ASu traducción literal sería

“Cremallera”, aduciendo a su función de comprimir

NORTIC A1:2014



BIBILIOGRAFÍA

• American National Standards Institute / Building Industry Consulting Service International. (2011). Data Center Desing and Implementation Best Practices. Estados Unidos: BICSI.

• Cloud Security Alliance. (2011). Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. Estados Unidos.

• Cordero, J. A. (2012). Metodología para administrar proyectos de tecnología basados en arquitectura orientada a servicios. Costa Rica.

• DiMinico, C. (n.d.). ANSI/TIA - 942. Telecomunications Infrastructure Standard for Data Centers.

• European Network and Information Security Agency (ENISA). (2009). Computación en nube. Beneficio, riesgos y recomendaciones para la seguiridad de la información. Europa.

• Hausman, K. K., & Susan L.Cook. (2011). IT Architecture For Dummies. Wiley Publishing, Inc.

• Lammle, T., & Swartz, J. (2013). CCNA Data Center. Introducing Cisco Data Center Networking - Study Guide. Canada: Neil Edde.

• SAFECode; Cloud Security Alliance. (2013). Practices for Secure Development of Cloud Applications.



ANEXOS

NORTIC A1:2014



Anexo A. Diseño de la topología LAN

Anexo B. Diseño para la topología del centro de datos

NORTIC A1:2014


EQUIPO DE TRABAJO

Dirección GeneralArmando García, Director General

Departamento de Estandarización, Normativas y Auditoría Técnica (ENAT)Elvyn Peguero, Gerente del ENAT

Shalem Pérez, Analista de Estándares y NormativasGinsy Aguilera, Analista de Estándares y NormativasWinner Núñez, Analista de Estándares y NormativasAriel Acosta, Consultor de Estándares y Normativas

Comité Interno para Evaluación de las Normas (CIEN) – Equipo OPTICCharli Polanco, Director de TIC

José Luis Liranzo, Director de DIGOBMiguel Guerra, Gerente Multimedia

Comité de Estándares de Tecnologías de la Información y Comunicación (COETIC)

Dahiri EspinosaDirección General de Ética e Integridad

Gubernamental

Luis PaulinoProcuraduría General de la

República

Roberto EugenioOficina Técnica de Transporte

Terrestre

Tulio VerigüeteMinisterio de la Mujer

Carlos LajaraMinisterio de Relaciones Exteriores

Carmen MejíaContraloría General de la

República Dominicana

Carlos SeguraMinisterio de Agricultura

Ubaldo PérezMinisterio de Hacienda

Gilberto MolinaMinisterio de Obras Públicas y

Comunicaciones

Alfonso EspinalInstituto Dominicano de las

Telecomunicaciones

César PichardoCámara TIC

Ricardo RodríguezAsociación de Nacional de

Empresas Informáticas

NORTIC A1:2014


Colaboradores

Santa García

Erick Domínguez

Samuel Luís

Joel Jaime

Edwin Sánchez

Ariela Marte

Eliaquín Encarnación

Juana Manzueta

Junior Rosa

Israel Colomé

Luis Santiago

Juan Ciprián

Cecilia Chávez

Carlos Adames

Leonardo Alcántara

José Aquino

Ly Méndez

Cándido Ramírez

santo domingo, república dominicana 15 de mayo, 2014 · introducciÓn ... computación en la nube...

Documents